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Dlsposltif de mise en ceuvre d'un systeme de signature de message et carte a puce comportant un tel dispo- 
sltlf. 

(§7) Un dispositif selon I'invention comports des premiers 
moyens de mise en ceuvre d'un systeme d'echange s ecu- 
rise de donnees du genre RSA pour signer des messages 
et verifier des messages siqnes, et des seconds moyens 
pour inhiber les fonctions de chiffrement et de dechiffre- 
ment propres a de tels systemes, de facon a n'autoriser 
que les fonctions de signature et de d'authentiflcatlon de si- 
gnature et de cles publiques. 

Application, en outre, aux reseaux natlonaux civlles ba- 
ses sur la technologie carte a puce: EDI, systemes bancai- 
res, systemes de sante, porte monnaie electronique. 
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Description 

L* invention concerne un dispositif permettant de mettre 
en oeuvre, conformement a un syst&me d* 6 change securise de donn&es 
du genre RSA des fonctions de signature de messages et 
d* authentif ication de signature pour des messages sign&s. 
5 Elle a d f importantes applications dans le domaine des 

communications cryptographiques , et tout particulidrement pour les 
cartes a puces. 

Le systeme RSA d'6change securis6 de donnees a 6t6 
decrit dans le brevet am6ricain n°4^05829 de Rivest, Shamir et 
10 Adleman en 1978. II repose sur la difficulty de factoriser un grand 
nombre "n" qui est le produit de deux nombres premiers **p" et w q", 
Dans ce systeme, le message a traiter est mis sous la forme d'une 
chaine de nombres separes en blocs de longueur fixe inf6rieure a 
H n n . Chaque bloc M donne un cryptogramme C a l*aide d'un exposant 
15 w e" qui est accessible au public: 

C = M e Mod(n) 

ou Mod(n) indique que 1' operation est effectufee modulo H n H . 

Pour d^chiffrer le cryptogramme C, le destinataire doit connaitre 

1* exposant secret "d" qui verifie 1' equation: 
20 e.d Mod((p-l) (q-1)) = 1 

afin d'effectuer 1 'operation suivante: 

C d Mod(n) = M ed Mod(n) = M 

Ce systeme permet egalement de signer les messages et d f authentif ier 

les signatures. Un message N est signe par l'emetteur en utilisant 
25 sa cl6 secrdte w d" : 

S = M d Mod(n) 

Le destinataire du message sign§ S peut alors authentifier cette 
signature en utilisant la cle publique "e" de l'emetteur: 
S e Mod(n) = M de Mod(n) = M 

30 L* evolution technologique des cartes a puces a et6 

telle, qu'il est maintenant possible d'y implementer a faible coQt, 
tout en obtenant des performances satisf aisantes , des syst^mes 
cryptographiques a cle publique, du genre RSA par exemple. Ainsi, de 
nombreux pays cherchent a creer des r€seaux nationaux bases sur la 

35 technologie carte a puce pour des applications qui requi^rent un 
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haut niveau de securite telles que 1*EDI (Echange de Donnees 
Informatisees) , le porte monnaie electronique , les systemes 
bancaires ou les systemes de sante... 

Or, lorsque le systeme cryptograph! que utilise est un 
5 systeme fort au sens ou nul ne peut dechiffrer un message chiffre a 
1' exception du proprietaire de la cle secrete, une partie de la 
capacite de ces reseaux pourrait etre detoumee a des fins 
criminelles. La legislation en vigueur interdit done en principe 
le chiffrement de donnees pour les applications civiles. 

10 Pour cela, il serait possible d'utiliser d'autres 

systemes cryptographiques li mites aux fonctions de signature, tel 
que le systeme DSS (de 1* anglais Digital Signature Standard) qui est 
en cours de normalisation au Etats Unis , ou le systeme GQ decrit 
dans le brevet frangais n°2 620 248 du 7 septembre 1987 . 

15 Toutefois, les systemes cryptographiques du genre RSA 

presentent l'avantage d'offrir un tres haut niveau de securite, 
d'etre largement mis en oeuvre dans de nombreux produits, et de 
pouvoir etre utilises, lorsque cela serait necessaire et autorise, 
comme un systdme de chiffrement de donnees. 

20 L' invention a done pour but de rendre compatibles la 

legislation en vigueur relative aux applications civiles de la carte 
a puce et 1 'utilisation d'un systeme cryptographique du genre RSA. 

Pour cela, un dispositif selon 1' invention, tel que 
defini dans le paragraphe introductif, est caracterise en ce qu'il 

25 comporte des moyens pour inhiber les fonctions de chiffrement et de 
dechiffrement de messages propres a tout systeme du genre RSA. 

Dans un premier mode de realisation, un dispositif selon 
1* invention comporte des moyens pour comparer chaque message a 
signer a une structure predeterminee selon laquelle tout message 

30 doit etre construit, et pour interdire la signature d*un message ne 
repondant pas a la dite structure. 

II est ainsi possible d'eviter qu'un fraudeur presente 
pour le signer un message chiffre ayant un sens, et ne realise ainsi 
frauduleusement une operation de dechiffrement. En effet. un message 

35 coherent chiffre n'etant ni previsible ni contrdlable, il ne peut 
repondre a ladite structure. 

De plus, un dispositif selon 1' invention comporte alors 
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avantageusement des moyens permettant, apres 1 ' authentif Ication de 
la signature d'un message signe, de comparer le message obtenu avec 
la dite structure, et d f emettre une indication de resultat positif 
s'il y a correspondance entre les deux, et negatif sinon. 
5 Ainsi. un message obtenu apres une telle verification de 

signature n'est jamais transmis vers l'exterieur lorsque 
1* indication de resultat est negative, ce qui permet d'eviter qu'un 
fraudeur ne presente pour une operation de verification de signature 
un message "en clair" afin de le chiffrer frauduleusement . 

10 Dans un second mode de realisation, un dispositlf selon 

1 1 invention comporte des moyens pour appliquer une fonction de 
condensation a tout message avant de le signer, puis pour emettre 
vers l'exterieur le message condense et signe ainsi que le message 
en clair, si necessaire. 

15 Ainsi, il est impossible d'utiliser frauduleusement la 

fonction de signature comme fonction de dechif frement, puisque la 
fonction de condensation est prealablement appliquee au message. 

De plus un dispositif selon 1* invention comporte alors 
avantageusement des moyens permettant, apres 1 ' authentif ication de 

20 la signature d'un message condense et signe, de comparer le messa g e 
condense obtenu au message em is en clair auquel la dite fonction de 
condensation a ete prealablement appliquee, et d' emettre une 
indication de resultat positif s'il y a correspondance entre les 
deux, et negatif sinon. 

25 Ainsi, un message obtenu apres une telle verification de 

signature n'est pas transmis vers l'exterieur lorsque Vindication 
de resultat est negative. 

L* invention concerne egalement une carte a microcircuit 
utilisant un systeme d'echange securise de donnees du genre RSA et 

30 qui comporte un dispositif tel que decrit dans les paragraphes 
precedents . 

D'autres particularity , details et avantages de la 
presente invention seront mis en evidence dans la description qui va 
suivre en regard des dessins annexes qui sont relatifs a des 
35 exemples donnes a titre non limitatif dans lesquels: 

- la figure 1 est une representation schematique d'un dispositif 
selon 1* invention. 
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- la figure 2 est une representation sch&matique de 1 'organisation 
de la memoire d'un dispositif selon 1' invention, 

- la figure 3 est un organi gramme d'un procede de fonctionnement 
d'un dispositif selon 1* invention dans un premier mode de 

5 realisation, 

- la figure 4 est un organigramme d'un procede de fonctionnement 
d'un dispositif selon 1' invention dans un second mode de 
realisation, 

- la figure 5 est une representation schgmatique d'une carte & puce 
10 comportant un dispositif selon 1' invention, 

Un dispositif selon 1' invention est realise & base d'un 
micro-contrdleur securise d'un point de vue physique tel. par 
exemple. que le 83C852 fabrique par Philips. Un tel micro-contrdleur 
1 est represents sur la figure 1 et compose & partir d'un 

15 microprocesseur 2, d'une memoire vive 3. d'une memoire morte 4 qui 
contient notamment des instructions de fonctionnement pour la mise 
en oeuvre de 1* invention, et d'une memoire EEPROM 5 pour contenir 
differentes donnees telles que la cie secrete de la carte, la cie 
publique d'un tiers avec lequel elle echange des Informations II 

20 est egalement compose d'une unite de calcul 6 pour prendre en charge 
les operations necessaires k la realisation des fonctions de 
cryptographie. d'une unite 7 de gestion des entr6es/sorties reliee 
en outre a une entree I/O du micro-contrdleur 1. Les elements 
precites du micro-contrdleur 1 sont relies entre eux par un bus 8. 

25 Le microprocesseur 2 est d' autre part reli6 aux entrees 

R, C, Vr et Vdd du micro-contrdleur 1, l'entree R etant destinee & 
recevoir un signal de reinitialisation du microprocesseur 2, 
1' entree C un signal d'horloge exterieur, 1' en tree Vr un signal de 
tension de reference et 1' entree Vdd un signal de tension 

30 d ' alimentation . 

Tout detail compiementaire peut etre trouve dans la 
notice du micro-contrdleur 83C852 p recite. 

D'apres la figure 2, la m6moire morte 4 contient en 
outre pour chaque fichier de donn6es Fl , F2,...Fn contenu dans la 

35 memoire EEPROM 5. un enregistrement comprenant le nom du fichier, le 
type des droits Dl , D2...,Dn associes k ce fichier et un pointeur 
vers ce fichier dans la memoire EEPROM 5. Ainsi, pour effectuer une 
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operation sur une information cTun fichier de donnees de la memoire 
EEPROM, il est necessaire de passer par le microprocesseur 2 qui va 
contrdler que ce type d* operation est autorise sur ces donnees. 

Par exemple, la memoire EEPRON comprend un fichier des 
5 cles publiques importees dans le dispositif et un fichier contenant 
la cle secrete du dispositif. Les droits associes a ces informations 
indiquent qu'elles ne sont pas lisibles de l'exterieur. De plus* 
selon 1* invention, le fichier des cles importees dispose d'un droit 
qui limite l'acces a ses donnees aux operations d'authentification 

10 de signature. 

C'est cette organisation de la memoire qui assure la 
protection des informations contenues dans le dispositif. 

Dans un premier mode de realisation du dispositif selon 
1* invention, tout message en clair Mo doit repondre a une structure 

15 predefinie. Dans 1 'exemple decrit par la suite, il a ete choisi 

d'attribuer une valeur particuliere aux 64 el6ments binaires de 
poids fort de chaque message Mo (la taille des messages traites par 
le systeme RSA etant, dans cet exemple de realisation, prise egale a 
512 elements binaires). Ces 64 elements binaires predefinis sont 

20 enregistres dans la memoire EEPROM 5. De facon a faciliter le 

reperage d'une telle structure, il est interessant de lui donner une 

forme reguliere telle par exemple que "00 0" ou "11... 1" ou 

-0101. . .01". 

Toutefois on peut egalement choisir d'imposer une 
25 redondance connue a chaque message Mo, par exemple en repetant 
plusieurs fois le message ou certaines de ses parties. 

La figure 3 donne un organigramme d'un procede de 
fonctionnement du dispositif selon 1' invention dans ce premier mode 
de realisation, les instructions correspondantes etant contenues 
30 dans la memoire morte 4 du micro-contrdleur 1. 

La signification des differents blocs de cet 
organigramme est donnee ci-dessous. 

- case Kl: le microprocesseur 2 attend qu*une demande arrive sur le 
port 1/0 du micro-contrdleur 1. Le contenu de ces demandes est 
35 defini dans les documents IS0/IEC 7816-3 et 7816-4, 1993. Elles 

comportent en outre un champ indiquant le type de 1* instruction a 
effectuer (un chargement de cle publique dans le fichier des cles 
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importees de la memoire EEPRON 5. une signature, une 
authentification ou une verification de signature par exemple) , et 
un champ comportant les donnees a traiter. Des la reception d'une 
demande, le procede passe a la case K2. 
5 - case K2: test permettant de determiner s'il s'agit d'une 

instruction de chargement de cle publique. Si c'est le cas, le 
procede se poursuit a la case K3. Sinon, il passe a la case K4. 

- case K3: la cle publique pas see dans le champs donnee de 

1* instruction est enregistree dans le fichier des cles importees de 
10 la memoire EEPROM 5. Puis le procede reprend a la case Kl. 

- case K4: test permettant de determiner s'il s'agit d'une 
instruction de signature. Dans ce cas le procede continue a la case 
K5; sinon, il passe a la case K7- 

- case K5: test de la structure du message Mo passe en parametre de 
15 1' instruction. Si ses 64 elements binaires de poids fort 

correspondent au motif predefini enregistre dans la memoire EEPROM 
5, il s'agit bien d'un message en clair et il est possible de le 
signer sans crainte de fraude (1' instruction de signature ne sera 
pas detournee pour realiser un dechif frement frauduleux) : le procede 

20 continue alors a la case K6. Sinon, 1* operation est re fusee, un 

message d'erreur est transmis vers le terminal (il s'agit en fait 
d'un message de reponse tel que defini dans les documents precites, 
dont le champ "statut " code sur 2 octets defini t le type de 
l'erreur), puis le procede reprend a la case Kl. 

25 - case K6: calcul de la signature Ms = (Mo) d Mod(n), et emission 

vers l'exterieur de ce message signe Ms. Puis le procede reprend a 
la case Kl. 

- case K7: test permettant de determiner s'il s'agit d'une 
instruction d' authentification de signature. Si c'est le cas, le 

30 procede se poursuit a la case K8. Sinon, il passe a la case Kll. 

- case K8: enregistrement dans la memoire vive du message signe Ms 
passe dans le champs donnees de 1 ' instruction, et de la cle publique 
"e" a utiliser qui est lue dans le fichier des cles importees de la 
memoire EEPROM 5. 

35 - case K9: calcul du message Mo'= (Ms) e Mod(n) 

- case K10: verification de la structure du message obtenu Mo' (case 
K101) en comparant ses 64 elements binaires de poids fort au motif 
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predefini qui est enregistre dans la memoire EEPROM 5. Au cas ou il 
n'y a pas correspondance entre les deux, une indication de resultat 
negatif est emise vers l'exterieur a la case K103 (son format est 
identique a celui du message d'erreur de la case K5). Et au cas ou 
5 il y a correspondance, le message Mo* est enregistre dans la memoire 
vive 3. et une indication de resultat positif est emise vers 
l'exterieur a la case K102 (il s'agit egalement d'un message de 
reponse tel que defini dans les documents precites, dont le champ 
"statut " code sur 2 octets indique qu'il n'y a pas d'erreur, et 
10 dont le champ "donnees" contient. si necessaire le message 
authentifie) . Puis le precede reprend a la case Kl. 

- case Kll: test permettant de determiner s'il s'agit d'une 
instruction de verification de signature. Dans ce cas le procede 
continue a la case K12; sinon il passe a la case K13. 

15 - case K12: comparaison du message en clair, recu dans le champs de 
donnees de 1 ' instruction, avec le message Mo* enregistre dans la 
memoire vive 3 (case K121). S'ils sont identiques, une indication de 
resultat positif est emise vers l'exterieur (case K122) . Sinon, 
e'est une indication de resultat negatif qui est emise (case K123) . 

20 Puis, le procede reprend a la case Kl. 

- case K13: traitement d'autres types d' instructions qui ne font pas 
partie du cadre de la presente invention et qui ne sont done pas 
decrites ici. Puis retour a la case Kl. 

Ce premier mode de realisation, qui a l*avantage d'etre 
25 tres simple, s f applique au cas ou l'identite du correspondant est 
connue. II est done particulierement bien adapte pour certaines 
applications dont 1 ' utilisation finale est tres bien determinee. 

Dans an second mode de realisation du dispositif selon 
1' invention, une fonction de condensation est appliquee a tout 
30 message avant de le signer. De telles fonctions sont decrites dans 
l f article du 15 mars 1988 intitule "Comment utiliser les fonctions 
de condensation dans la protection des donnees" publie dans le cadre 
du colloque SECURICOM tenu a Paris en 1988. Une propriete 
essentielle d'une telle fonction est que, dans la pratique, elle 
35 n'est pas inversible, et qu'il est impossible de trouver un autre 
message qui donne le meme resultat. 

La figure 4 donne un organi gramme d'un procede de 
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fonctionnement du dispositif selon 1* invention dans ce second mode 
de realisation, les instructions correspondantes etant contenues 
dans la memoire morte 4 du micro-contrdleur 1. 



organigramme est donnee ci-dessous. 

- case K21; le microprocesseur 2 attend qu'une demande arrive sur le 
port I/O du micro-contrdleur 1. Le procede passe ensuite 
immediatement a la case K22. 

- case K22: test permettant de determiner s'il s'agit d'une 
instruction de chargement de cle publique. Si c'est le cas, le 
procede se poursuit a la case K23. Sinon, il passe a la case 

- case K23: la cle publique pas see dans le champs donnee de 

1* instruction est enregistree dans le fichier des cles importees de 
la memoire EEPROM 5. Puis le procede reprend a la case K21. 

- case K2U: test permettant de determiner s'il s'agit d'une 
instruction de signature. Dans ce cas le procede continue a la case 
K25; sinon, il passe a la case K28. 

- case K25: application de la fonction de condensation H au message 
Mo a signer qui a ete passe en parametre de 1' instruction. 

- case K26: le message H(Mo) ainsi obtenu est condense. Or le 
systeme RSA traite, dans cet exemple, des messages d'une longueur 
fixe de 512 elements binaires. II est done necessaire completer le 
message H(Mo), par ajout d'un motif Z predefini par exemple (qui est 
enregistre dans la memoire EEPROM 5), de fagon a le ramener a une 
longueur de 512 elements binaires. Soit {M' =H(Mo) | |Z} le message 
ainsi obtenu (ou le signe || indique 1' operation de concatenation). 

- case K27: calcul de la signature Ms = (M*) d Mod(n) , et emission 
vers 1'exterieur de ce message signe Ms. Puis le procede reprend a 
la case Kl . 

- case K28: test permettant de determiner s'il s'agit d'une 
instruction d* authentif ication de signature. Si e'est le cas, le 
procede se poursuit a la case K29. Sinon, il passe a la case K32. 

- case K29: enregistrement dans la memoire vive du message signe Ms 
passe dans le champs donnees de 1 * instruction, et de la cle publique 
"e" a utiliser qui est lue dans le fichier des cles importees de la 
memoire EEPROM 5. 

- case K30: calcul du message M" = (Ms) e Mod(n) 



La signification des differents blocs de cet 
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- case K31: verification de la structure du message obtenu (case 
K311): il doit avoir la forme X||Z ou Z est le motif predefini qui 
est enregistre dans la memoire EEPROM 5- Si ce n'est pas le cas, une 
indication de resultat negatif est emise vers 1'exterieur (case 

5 K313)* Sinon, le message X est enregistre dans la memoire vive 3* et 
une indication de resultat positif est emise vers l'exterieur (case 
K312). Puis le procede reprend a la case Kl. Cette authentification 
est un premier contrdle qui permet de s v assurer que le message Ms 
passe en parametre est ef fectivement un message signe par la cle 
10 secrete correspondant a la cle publique V. 

- case K32: test permet tant de determiner s'il s'agit d'une 
instruction de verification de signature. Dans ce cas le procede 
continue a la case K33; sinon il passe a la case K3^. 

- case K33- comparaison du message en clair regu dans le champs de 
15 donnees de 1 ' instruction, auquel est prealablement appliquee la 

fonction de condensation H, avec le message X enregistre dans la 
memoire vive 3 (case K331). S'ils sont identiques, une indication de 
resultat positif est emise vers l'exterieur (case K332). Sinon, 
c'est une indication de resultat negatif qui est emise (case K333) . 
20 Puis, le procede reprend a la case Kl. 

- case K3**: traitement d'autres types d' instructions qui ne font pas 
par tie du cadre de la presente invention et qui ne sont done pas 
decrites ici. Puis retour a la case Kl. 

Bien que le premier mode de realisation apporte entiere 
25 satisfaction, il est parfois necessaire de disposer d'une protection 
accrue. Une telle protection accrue est obtenue dans ce second mode 
de realisation, plus sur du point de vue de la signature puisqu'il 
met en oeuvre une fonction de condensation. II apporte de plus 
I'avantage supplemental re de permettre d'utiliser le concept de 
30 certificat de cle publique (defini dans la recommandation X509 du 
CCITT) , pour verifier l'origine de la cle publique a utiliser pour 
authentifier un message signe. 

En effet, tout utilisateur A muni d'un dispositif selon 
l f invention dispose, enregistre dans sa memoire EEPROM, d'un 
35 certificat de cle publique C A , signe par I'autorite AS du systeme, 
et de parametres publics PP A definis de la facon suivante: 
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C A = [H(PP A )] d ~ MocKn^) 
avec PP A = Id A ||e A ||Val A ||n A ||... 

ou - PP A sont les paramdtres publiques de 1 'utilisateur A, 

- H est la fonction de condensation, 

5 - Id A est un identifiant de 1 'utilisateur A, 

- Val A est la date de validity de la cl6 publique e A de 
1' utilisateur A, 

- les points de suspension indiquent que d'autres paramdtres 
peuvent 6ventuellement 6tre pris en compte, 

10 - n A et n^ sont les modulo de 1 ' utilisateur A et de l f autorit6 

AS, 

- et d AS est la cle secrete de 1'autorite AS. 

Ainsi lorsque 1 ' utilisateur A envoie un message signg & 
1 'utilisateur B, il lui envoie egalement ses paramdtres publiques 
15 PP A en clair et son certificat de cl6 publique C A . L' utilisateur B 
est alors en mesure d' authentifier le certificat de cl6 publique C A 
de 1* utilisateur A en appliquant la procedure suivante: 

- il applique la fonction de condensation H aux paramdtres publiques 

PP A- 

20 - il calcule: T = C A ejLS Moddl^) 

ou e AS est la cl6 publique de 1'autorite AS, disponible de facon 
sQre dans chaque dispositif, 

- puis il compare le message T obtenu & H(PP A ) . S'il y a £galit&, la 
cle publique e A de 1* utilisateur A, et son modulo n A sont 

25 authentifi£s, et 1 'utilisateur B peut les utiliser pour authentifier 
un message sign6 tel que cela a ete d6crit pr£c6demment . 

Cette procedure d'authentification de la cl6 publique 
d'un utilisateur A par un utilisateur B consiste en fait k appliquer 
au certificat de cle publique C A la fonction d'authentification de 
30 signature decrite ci-dessus, et aux paramdtres publiques PP A la 
fonction de verification de signature d6crite ci-dessus. 

Ce second mode de realisation du dispositif selon 
1* invention apporte done l'avantage supplemental re de permettre de 
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verifier 1 ' authenticity des cles publiques des utilisateurs avant 
d'authentifier et de verifier les signatures. 

Dans un autre mode de realisation, la fonction de 
dechif frement n'est autorisee que pour certains utilisateurs. Pour 
5 cela, il suffit d'associer a chaque clt secrdte un critdre 

d ' utilisation pour le dechif frement limits a ces utilisateurs, et: 

- pour le premier mode de realisation, de rajouter a la case K10, 
avant de tester la structure du message obtenu, un test sur la 
valeur de ce critere d' utilisation , de telle sorte que la structure 

10 du message obtenu ne soit vtrifite que si 1* operation de 
dechif frement est interdite. 

- pour le second mode de realisation, de mettre en place & la case 
K3^ une instruction de dechif frement, l f execution de cette 
instruction ttant subordonnee a un test sur la nature du critdre 

15 d* utilisation de la cle secrete contenue dans le fichier cl6 secrete 
de la memoire EEPROM 5. 

La figure 5 reprtsente un systtme d'tchange de donntes 
comportant deux cartes a puce A et B munie chacune d'un dispositif 
selon 1' invention 1A et IB. Les titulaires respectifs de ces deux 

20 cartes a puce communiquent par 1 ' intermedial re d'un terminal CI. 

Les systemes de santt constituent un exemple 
d* application pratique d'un tel systtme: la carte personnelle du 
patient, constitute par la carte A, et celle du professionnel de 
sante qui traite le dossier du patient, qui est constitute par la 

25 carte B, echangent des informations par 1 * intermediaire du terminal 
CI, localise chez le medecin. 

On donne en annexe un exemple de protocole d'tchange 
entre ces trois Elements, pour le second mode de realisation du 
dispositif selon 1* invention (II, 12, 13 et 14 sont des indications 

30 de resultat positif ou negatif emise par la carte B vers le terminal 
CI apres chaque operation realiste) . 

II va de soi que des modifications peuvent §tre 
apportees aux modes de realisation qui viennent d'§tre decrits, 
notamment par substitution de moyens techniques equivalents, sans 

35 que l'on sorte pour cela du cadre de la prtsente invention. 
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ANNEXE 

CARTE A TERMINAL CI CARTE B 

signature Mo 
< 

envoi M gA 
> 

demande C A » PP A 



<- 



Authentification C A 



-> 



Indication II 

< 



Si II Verification PP A 
positive > 



Indication 12 

< 



Si 12 Authentification M flA 
positive > 



Indication 13 

< 



Si 13 Verification M gA 
positive > 

Indication Ik 
< 

FIN 
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REVINDICATIONS 



1. 



Dispositif permettant de mettre en oeuvre, conformement 



10 



15 



20 



25 



30 



a un sy steme d'echange securise de donnees du genre RSA, des 
fonctions de signature de messages et d* authentif ication de 
signature pour des messages signes, 

caracterise en ce qu'il comporte des moyens pour inhiber les 
fonctions de chiffrement et de d6chif frement de messages propres a 
tout systeme du genre RSA. 

2. Dispositif selon la revendication 1, caracterise en ce 

qu'il comporte des moyens pour comparer chaque message (Mo) a signer 
a une structure predeterminee selon laquelle tout message doit etre 
construit, et pour interdire la signature d'un message ne repondant 
pas a la dite structure. 

3* Dispositif selon la revendication 2, caracterise en ce 

qu'il comporte des moyens permettant, apres 1 1 authentif ication de la 
signature d'un message signe (Ms), de comparer le message obtenu 
(Mo') avec la dite structure, et d'emettre une indication de 
resultat positif s'il y a correspondence entre les deux, et negatif 
sinon. 

4. Dispositif selon la revendication 1, caracterise en ce 
qu'il comporte des moyens pour appliquer une fonction de 
condensation (H) a tout message (Mo) avant de le signer, puis pour 
emettre vers l'exterieur le message condense et signe (Ms) ainsi que 
le message en clair (Mo), si necessaire. 

5. Dispositif selon la revendication 4, caracterise en ce 
qu'il comporte des moyens permettant, apres 1* authentif ication de la 
signature d'un message condense et signe (Ms) , de comparer le 
message condense obtenu (X) au message emis en clair (Mo) auquel la 
dite fonction de condensation (H) a ete prealablement appliquee, et 
d' emettre une indication de resultat positif s'il y a correspondence 
entre les deux, et negatif sinon. 

6. Dispositif selon la revendication 5. caracterise en ce 
les dits moyens sont utilises pour mettre en oeuvre le concept de 
certificat de cle publique (C A ) et de parametres publiques (PP^) 
afin authentifier les cles publiques recues (e^, n^) . 

7- Dispositif selon l'une des revendi cations 1 a 6, 
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caracterise en ce qiTun critdre d* utilisation est associg & chaque 
cl6 secrete pour permettre d'autoriser la fonction de d6chiffrement 
pour un nombre restreint d'utilisateurs • 

8. Carte & microcircuit utilisant un systdme d'echange 

securis6 de donn£es du genre RSA f caractgris£e en ce qu'elle 
comporte un dispositif selon I'une des revendi cations 14 7- 
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